POLITYKA OCHRONY DANYCH OSOBOWYCH W SZKOLE

Transkrypt

1 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego POLITYKA OCHRONY DANYCH OSOBOWYCH W SZKOLE NAZWA ADMINISTRATORA DANYCH: ZESPÓŁ SZKÓŁ NR 32 Nazwa szkoły ADRES: WARSZAWA , UL. OŻAROWSKA 71 Data i miejsce sporządzenia dokumentu: 24/05/2018 Ilość stron: 55 1

2 SPIS TREŚCI 1.WSTĘP INFORMACJE OGÓLNE OBSZARY OBJĘTE PolitykĄ Ochrony Danych Osobowych SŁOWNIK NAJWAŻNIEJSZYCH POJĘĆ funkcje w obszarze ochrony DANYCH OSOBOWYCH ADMINISTRATOR DANYCH Zakres obowiązków Inspektora OCHRONY DANYCH Administrator Systemów Informatycznych OSOBY UPOWAŻNIONE DO WGLĄDU I PRZETWARZANIA DANYCH OSOBOWYCH Upoważnienie do przetwarzania danych osobowych POWIERZENIe PRZETWARZANIA DANYCH OSOBOWYCH podmiotom zewnętrznym ZASADY POSTĘPOWANIA przy przetwarzaniu danych osobowych instrukcja na wypadek naruszenia ochrony danych osobowych ZAsady kontroli sposobów zabezpieczania danych osobowych REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH. OBSZARY, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE PRZEPŁYW DANYCH OSOBOWYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych POLITYKA PRYWATNOŚCI NA SERWISACH Załączniki Załącznik nr 1 Ustanowienie Inspektora Ochrony Danych Załącznik nr 2 Upoważnienie Inspektora Ochrony Danych do nadawania upoważnień Załącznik nr 3 Wyznaczenie Administratora Systemów Informatycznych Załącznik nr 4 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę... 23

3 Załącznik nr 5 Wzór oświadczenia o zobowiązaniu się do zachowania poufności Załącznik nr 6. Rejestr czynności przetwarzania danych osobowych Załącznik nr 7 Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych Załącznik nr 8 Wykaz podmiotów, którym Administrator Danych powierzył przetwarzanie danych osobowych Załącznik nr 9 Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych załącznik nr 10 - Wzór Raport z kontroli wewnętrznej w zakresie ochrony danych osobowych (AUDyt wewnętrzny Załącznik nr 11 - Protokół z kontroli w zakresie ochrony danych osobowych Załącznik nr zał. nr 13. PROTOKÓŁ stwierdzenia naruszenia prawa w zakresie ochrony danych osobowych Załącznik nr Załącznik nr 15. Rejestr naruszeń ochrony danych osobowych Wstęp Cel przygotowania Instrukcji Zarządzania Systemem Informatycznym Zakres informacji objętych Instrukcją Zarządzania Systemem Informatycznym Wyjaśnienie terminów używanych w dokumencie Instrukcji Zarządzania Systemem Informatycznym Osoby odpowiedzialne za PRZESTRZEGANIE ZAPISÓW InstrukcjI Zarządzania Systemem Informatycznym Informacje ogólne Administrator Systemów Informatycznych Administrator IT Procedura nadawania oraz cofania uprawnień do przetwarzania danych i rejestrowania tych zmian w systemach informatycznych oraz wskazania osoby odpowiedzialnej za te czynności Opis stosowanych metod i środków uwierzytelnienia oraz procedur związanych z zarządzaniem i użytkowaniem stosowanych metod i środków uwierzytelnienia Procedura rozpoczęcia pracy przeznaczona dla użytkowników systemów informatycznych Procedura zawieszenia pracy przeznaczona dla użytkowników systemów informatycznych Strona 3 z 25

4 4.3.Procedura zakończenia pracy przeznaczona dla użytkowników systemów informatycznych Procedury tworzenia kopii zapasowych zbiorów danych oraz programów służących do ich przetwarzania Opis sposobu zabezpieczenia systemów informatycznych przed działalnością niebezpiecznego oprogramowania Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych DPIA Poziom ryzyka wypływu danych w systemach/zasobach Załącznik nr 1. Karta nadawania i COFANIA uprawnień w trakcie trwania zatrudnienia pracownika w SZKOLE Nadanie/Cofanie dostępów do systemów informatycznych: Utworzenie konta mailowego: Czynności dotyczące polityki bezpieczeństwa: Dodatkowe uprawnienia przyznawane pracownikowi:... 49

5 1. WSTĘP 1.1. INFORMACJE OGÓLNE 1. Administratorem Danych, który wdraża Politykę Ochrony Danych Osobowych w szkole jest Zespół Szkół nr 32 im. K. K. Baczyńskiego, z siedzibą w Warszawie, ul. Ożarowska Głównym celem wprowadzenia Polityki Ochrony Danych Osobowych jest zapewnienie zgodności działania ADMINISTRATORA DANYCH z Rozporządzeniem RODO o ochronie danych osobowych. 3. Dokument Polityki Ochrony Danych Osobowych został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: - Rozporządzenie Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r (RODO) 1.2. OBSZARY OBJĘTE POLITYKĄ OCHRONY DANYCH OSOBOWYCH Politykę Ochrona Danych Osobowych składa się z: a) wykazu rejestru czynności ochrony danych osobowych b) ewidencji pomieszczeń, w którym przetwarzane są dane osobowe, c) ocena ryzyka w zakresie przetwarzania danych osobowych, d) środki techniczne wymagane do właściwego przetwarzania danych osobowych, e) Instrukcję zarządzania systemem informatycznym SŁOWNIK NAJWAŻNIEJSZYCH POJĘĆ Poniżej wyjaśnione są najważniejsze terminy zakresu ochrony danych osobowych: - Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych, - Inspektor Ochrony Danych osoba zarządzająca OD w imieniu Administratora, - ASI Administrator Systemów Informatycznych, - ODO Ochrona danych osobowych, - RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r ) - PODO - Polityka Ochrony Danych Osobowych - dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, Strona 5 z 25

6 - przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, - poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.

7 2. FUNKCJE W OBSZARZE OCHRONY DANYCH OSOBOWYCH 1. Administrator Danych. 2. Dyrektor. 3. Kierownik Administracyjny. 4. Administrator Systemów Informatycznych ADMINISTRATOR DANYCH 1. Administratorem Danych jest Zespół Szkół nr 32 z siedzibą w Warszawie, numer REGON Administrator Danych w zakresie ochrony danych, w tym ochrony danych osobowych, sprawuje ogólny nadzór nad ODO ZAKRES OBOWIĄZKÓW INSPEKTORA OCHRONY DANYCH 1.Obowiązki Inspektora: a) Zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych; b) nadzorowanie opracowania i aktualizowania dokumentacji OD oraz przestrzegania zasad w niej określonych; c) prowadzenie rejestru czynności przetwarzania danych osobowych; 2. Inspektor Ochrony Danych swoje ustawowe zadania może realizować, w szczególności poprzez: a) stały nadzór nad treścią PODO i Instrukcji zarządzania systemem informatycznym, b) aktualizację i modyfikację ww. dokumentów, c) udział w kontrolach prowadzonych przez inspektorów Prezesa Urzędu Ochrony Danych Osobowych, d) udzielanie odpowiedzi na zapytania kierowane do Administratora Danych przez podmioty zewnętrzne, dotyczące administrowanych zbiorów danych osobowych, e) nadzór nad przekazaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych, f) przekazanie uprawnień szczegółowych kierownikowi administracyjnemu w zakresie prowadzenia aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych we wszystkich zbiorach oraz nadzór nad prowadzeniem rejestru nadanych uprawnień do przetwarzania danych w systemach informatycznych, g) przekazanie uprawnień szczegółowych kierownikowi administracyjnemu w zakresie nadzoru nad fizycznym zabezpieczeniem obszarów, w których przetwarzane są dane osobowe, h) monitorowanie działań i skuteczności zabezpieczeń wdrożonych w celu ochrony danych osobowych. Strona 7 z 25

8 2.4. ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH Obowiązki ASI: 1. nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów, 2. podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń, 3. identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych i tradycyjnych, 4. nadawanie/nadzór/cofanie uprawnień do przetwarzania danych osobowych w systemach informatycznych, 5. sprawowanie nadzoru nad przechowywanymi kopiami zapasowymi opisanymi w Instrukcji zarządzania systemem informatycznym OSOBY UPOWAŻNIONE DO WGLĄDU I PRZETWARZANIA DANYCH OSOBOWYCH 1. Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z Rozporządzeniem RODO, PODO. 2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. 3. Stanowiska, które wymagają przetwarzania ochrony danych osobowych w szkole to: a) nauczyciele, b) pracownicy administracyjno-księgowi, c) pracownik sekretariatu, d) inni. 4. Zakres dostępu do danych osobowych, sposób przekazania uprawnień, dokumenty związane z przekazaniem DO i zadania związane z ich przetwarzaniem wobec powyższych stanowisk regulują załączniki 4.

9 3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Upoważnienie do przetwarzania ochrony danych osobowych nadaje Dyrektor szkoły Inspektorowi OD. 2. Inspektor zapoznaje osoby upoważnione z zasadami ochrony danych, w tym danych osobowych w formie indywidualnego przeszkolenia. 3. Pracownik potwierdza fakt przeszkolenia składając swój podpis w tabeli osób upoważnionych do przetwarzania DO. 4. Dyrektor dokonuje upoważnienia w formie pisemnej na podstawie wzoru z załącznika 4, który podpisuje pracownik i dyrektor. 5. Dyrektor decyduje i ponosi odpowiedzialność za nadanie upoważnienia. 6. Główny specjalista ( pracownik administracji) ewidencjonuje nadane upoważnienia. 7. Ewidencji osób upoważnionych do przetwarzania danych osobowych dokonuje się w tabeli stanowiącej załącznik nr Wzór upoważnienia stanowi Załącznik nr 4 PODO. 9. Wzór ewidencji osób upoważnionych do przetwarzania danych stanowi Załącznik nr 7 do PODO. Strona 9 z 25

10 4. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH PODMIOTOM ZEWNĘTRZNYM 1. Administrator Danych może przekazywać w szczególnych przypadkach przetwarzanie danych osobowych zewnętrznym instytucjom, organizacjom, placówkom. 2. W/w zadanie powinno być potwierdzone umową powierzenia, która zawiera cel przekazanie oraz zakres i czas planowanego przetwarzania danych przez inny podmiot. 3. Dyrektor Zespołu Szkół nr 32, jako Administrator Danych i wybrany podmiot podpisują umowę powierzenia według zał. Nr Osobą odpowiedzialną za rejestrowanie zawartych umów powierzenia jest kierownik administracyjny.

11 5. ZASADY POSTĘPOWANIA PRZY PRZETWARZANIU DANYCH OSOBOWYCH 1. Każdy pracownik, który dokonuje czynności związane z przetwarzaniem danych osobowych ponosi odpowiedzialność za bezpieczeństwo ich przetwarzania. 2. Zabronione jest udostępnianie danych osobowych w miejscu pracy osobom nie upoważnionym, jak również poza nim, jeżeli nie jest to uzasadnione powierzonymi zadaniami związanymi z ochroną danych osobowych. 3. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. czystego biurka. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników. Każdy z pracowników zobowiązany jest do zachowania zasady czystego biurka tzn. nie powinien zostawiać żadnych dokumentów na biurku poza nadzorem. 4. Wszelkie dokumenty, które podlegają zniszczeniu powinno się zutylizować w sposób trwały i uniemożliwiający odczytanie danych tam zawartych, np. z wykorzystaniem niszczarki. 5. Wynoszenie poza placówkę dokumentów zawierających dane osobowe w formie papierowej oraz cyfrowej jest surowo zabronione z wykluczeniem sytuacji związanych z wykonywaniem czynności służbowych. 6. W pomieszczeniach placówki w których przechowywane są dane osobowe (takiej jak sekretariat, kadry, kierownika gospodarczego, gabinet dyrektora, wicedyrektora, kierownika kształcenia praktycznego, gabinet pedagoga, p. nauczycielski, biblioteki szkolnej, składnica szkolna, gabinet pielęgniarki) nie powinny przebywać osoby nieupoważnione bez osoby odpowiedzialnej do przetwarzania danych osobowych. 7. Pomieszczenia w których przetwarzane są dane osobowe powinny być zamykane na klucz na czas nieobecności pracownika. Strona 11 z 25

12 6. INSTRUKCJA NA WYPADEK NARUSZENIA OCHRONY DANYCH OSOBOWYCH 1. Każdy kto ma podejrzenie, iż nastąpiło naruszenie ochrony danych osobowych ma obowiązek zgłosić ten fakt do Dyrektora szkoły, ASI lub Inspektor OD. 2. Obowiązki pracownika, który zgłosił podejrzenie naruszenia ochrony danych osobowych: a) powstrzymać b) ograniczyć niepożądane skutki, c) ustalić przyczyny i osoby które naruszyły ochronę danych, d) zabezpieczyć i udokumentować zaistniałe naruszenie. 3. Obowiązki Inspektora OD oraz ASI: a) analiza sytuacji, b) podjęcie kroków zabezpieczających dane osobowe, c) udokumentowanie zaistniałego przypadku i sporządzenie raportu (załącznik nr 13). 4. Po sporządzeniu raportu Inspektor OD lub ASI przygotowuje dokument procesów naprawczych, określa możliwości techniczne związane z ewentualnym odtworzeniem danych z kopii zapasowych, jak również zarządza w jakim terminie nastąpi wznowienie procesu przetwarzania danych. 5. Za Incydentalne naruszenie przepisów o ochronie danych osobowych uznaje się pojedyncze zdarzenie lub seria niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań placówki i zagrażają bezpieczeństwu informacji, czyli: a) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł itd.), b) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, c) nieodpowiednie zabezpieczenie sprzętu IT czy oprogramowania przed wyciekiem lub utratą danych osobowych. 6. Za wysokie naruszenie przepisów o ochronie danych osobowych uznaje się takie naruszenie, które ma związek z naruszeniem dóbr osobistych, które są pod ochroną prawa cywilnego, jak w szczególności: a) zdrowie, b) wolność, c) cześć, d) swoboda sumienia, e) nazwisko lub pseudonim, f) wizerunek, g) tajemnica korespondencji, h) nietykalność mieszkania, i) twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska. 7. W przypadku stwierdzenie poważnego naruszenia Inspektor OD zgłasza ten fakt dyrektorowi, a ten po uzgodnieniu zakresu i wagi naruszenia informuje PUODO w formie pisemnej. 8. Naruszenia ochrony danych osobowych zapisywane są w rejestrze naruszeń (załącznik nr 15).

13 7. ZASADY KONTROLI SPOSOBÓW ZABEZPIECZANIA DANYCH OSOBOWYCH 1. Za kontrolę sposobu zabezpieczania danych osobowych w Zespole Szkół nr 32 odpowiada Inspektor OD oraz ASI (systemy informatyczne). 2. Zadaniem IOD jest weryfikacja czy dane osobowe chronione są zgodnie z obowiązującymi przepisami. 3. Inspektor OD dokonuje kontroli na wniosek Administratora Danych lub Prezesa UODO, w formie a) zgodnie ze stałym planem kontroli; b) kontroli doraźnej, po uzyskaniu informacji o naruszeniu ochrony danych osobowych; c) na wniosek PUODO. 5. Efektem każdorazowej kontroli jest raport z audytu wewnętrznego (załącznik nr 10) 6. Inspektor OD ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych w trybie określonym w PODO, o ile w umowie o powierzeniu przetwarzania danych osobowych istnieją stosowne zapisy w tym zakresie. 7. Wzór protokołu z kontroli lub czynności sprawdzających, o których mowa w pkt 8 stanowi załącznik nr Wszelkie dokumenty dotyczące planowanych i doraźnych sprawdzeń Inspektor OD przechowuje w zabezpieczonej szafie w pomieszczeniu działu administracyjnego. Strona 13 z 25

14 8. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH. OBSZARY, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE 1. Dla każdego zidentyfikowanej czynności wskazano obszary, gdzie przetwarzane są dane osobowe. Dokonano szczegółowego opisu czynności. Opracowano listę rejestru czynności z cechami charakterystycznymi dla każdego obszaru. (patrz tabela nr 6) Do każdego obszaru przypisana jest osoba nadzorująca. 2. Każdy obszar uwzględnia: zgodność z prawem, rzetelność przejrzystość, ograniczenie celu, minimalizację danych, prawidłowość, ograniczenie przechowywania oraz integralność i poufność. 3. Określenie obszaru pomieszczeń, w których przetwarzane są dane osobowe, powinno obejmuje zarówno miejsca, w którym wykonuje się operacje na danych osobowych (wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe. 4. Wskazując na czynność przetwarzania danych uwzględniono także obszar, w którym przetwarzane są dane powierzone przez Administratora Danych odrębnym podmiotom. 5. Wykaz podmiotów, którym dane zostały powierzone, wraz ze wskazaniem obszaru przetwarzania danych znajduje się w Załączniku nr 8 do Polityki Bezpieczeństwa. 6. Do każdego zbioru danych należy określić poziom ryzyka zgodnie z poniższą procedurą: Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania. Definicje 1. Aktywa środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych 2. Naruszenie (Incydent) ochrony danych osobowych - to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych 3. Zagrożenie - potencjalne naruszenie (potencjalny incydent) 4. Skutki - rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia) 5. Ryzyko - prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów Wyznaczenie zagrożeń 1. Administrator jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania 2. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów 3. Wykaz przykładowych zagrożeń znajduje się w części Lista potencjalnych zabezpieczeń Wyliczenie ryzyka dla zagrożeń 1. Administrator określa Prawdopodobieństwo (P) wystąpienia poszczególnych zagrożeń w zbiorze lub w procesie przetwarzania 2. Skalę prawdopodobieństwa prezentuje Tabela A 3. Administrator określa Skutki (S) wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne 4. Proponowaną Skalę skutków prezentuje Tabela B

15 5. Administrator wylicza Ryzyka (R) dla wszystkich zagrożeń i ich skutków w/g formuły: R = P * S Tabela A PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA SKALA (WAGA) zagrożenie niskie 1 zagrożenie średnie 2 zagrożenie wysokie 3 Tabela B SKUTKI WYSTĄPIENIA ZAGROŻENIA SKALA (WAGA) małe (do PLN, incydent prasowy lokalny) 1 średnie ( PLN, incydent prasowy ogólnopolski) 2 duże (od PLN, naruszenie prawa) 3 Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem 1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem. 2. Proponowaną skalę Ryzyka prezentuje Tabela C. Tabela C POZIOM RYZYKA WARTOŚĆ [R = P*S] ryzyko pomijalne i akceptowalne (akceptujemy) 1-2 ryzyko jest opcjonalne (akceptujemy albo obniżamy) 3-6 ryzyko jest nieakceptowalne (musimy obniżyć), przeprowadzić ocenę skutków przetwarzania danych 9 Reakcja na wartość ryzyka Strona 15 z 25

16 1. Akceptacja ryzyka zabezpieczenia są właściwe brak potrzeby stosowania dodatkowych zabezpieczeń 2. Działania obniżające ryzyko, które może zastosować Administrator: a. przeniesienie przerzucenie ryzyka (outsourcing, ubezpieczenie) b. unikanie eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji) c. redukcja zastosowanie zabezpieczeń w celu obniżenia ryzyka (np. zaszyfrowanie pendrivów z danymi wynoszonych poza firmę) 3. Wykaz przykładowych zabezpieczeń do znajduje się w części Lista potencjalnych zabezpieczeń 4. Analizę ryzyka przeprowadza się w specjalnym szablonie Arkusz analizy ryzyka RODO Przykłady obszarów, przy których dokonuje się czynności przetwarzania danych osobowych w szkole 1) Zbiór nr 1 Księga druków ścisłego zarachowania, 2) Zbiór nr 2 Akta osobowe pracowników, 3) Zbiór nr 3 Ewidencja zwolnień lekarskich pracowników, 4) Zbiór nr 4 Księga zastępstw nauczycieli, 5) Zbiór nr 5 Protokoły zebrań rady pedagogicznej, 6) Zbiór nr 6 Ewidencja urlopów pracowników niepedagogicznych, 7) Zbiór nr 7 Ewidencja osób korzystających z księgozbioru bibliotecznego, 8) Zbiór nr 8 Ewidencja legitymacji pracowniczych, 9) Zbiór nr 9 Ewidencja legitymacji ubezpieczeniowych, 10) Zbiór nr 10 Ewidencja wydawanej pracownikom odzieży ochronnej, 11) Zbiór nr 11 Rejestr delegacji służbowych, 12) Zbiór nr 12 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych, 13) Zbiór nr 13 Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego, 14) Zbiór nr 14 Listy płac pracowników, 15) Zbiór nr 15 Księga ewidencji uczniów, 16) Zbiór nr 16 Księga arkuszy ocen 17) Zbiór nr 17 Dzienniki lekcyjne i dzienniki zajęć pozalekcyjnych, 18) Zbiór nr 18 Rejestr pedagoga szkolnego, 19) Zbiór nr 19 Arkusze ocen wszystkich uczniów wraz z opiniami poradni PPP, 20) Zbiór nr 20 Protokoły egzaminów klasyfikacyjnych i poprawkowych, 21) Zbiór nr 21 Ewidencja wydanych legitymacji szkolnych, 22) Zbiór nr 22 Ewidencja wydanych świadectw ukończenia szkoły, 23) Zbiór nr 23 Ewidencja duplikatów świadectw ukończenia szkoły, 24) Zbiór nr 24 Ewidencja uczniów i nauczycieli zbiór elektroniczny Sekretariat szkoły, 25) Zbiór nr 25 Dokumentacja zdrowotna uczniów, 26) Zbiór nr 26 Zwolnienia lekarskie uczniów z wychowania fizycznego, 27) Zbiór nr 27 Rejestr wypadków uczniów, 28) Zbiór nr 28 Zbiór upoważnień, 29) Zbiór nr 29 Archiwum (akta osobowe pracowników, listy płac, księgi arkuszy ocen, dzienniki lekcyjne), 30) Zbiór nr 30 Arkusz organizacji roku szkolnego, 31) Zbiór nr 31 Rejestr psychologa szkolnego, 32) Zbiór nr 32 Akta osobowe pracowników rejestr elektroniczny Kadry.

17 33) Rejestr nr 33 legitymacji szkolnych, 34) Rejestr nr 34 świadectw ukończenia szkoły, 35) Rejestr nr 35 świadectw dojrzałości, 36) Rejestr nr 36 świadectw potwierdzających kwalifikacje w zawodzie, 37) Rejestr nr 37 dyplomów, 38) Rejestr nr 38 zaświadczeń szkolnych. Strona 17 z 25

18 9. PRZEPŁYW DANYCH OSOBOWYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI Między funkcjonującymi w szkole systemami informatycznymi występują następujące przepływy danych 1) SIO Hermes brak przepływu, 2) SIO VULCAN brak przepływu, 3) Hermes VULCAN przepływ. 10. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH 10.a.i.1.a.i.1. Rozdział ten zawiera wykaz środków technicznych i organizacyjnych, które zostały zastosowane przez Administratora Danych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych, a także dla zagwarantowania poufności, integralności i rozliczalności przetwarzanych danych osobowych. 10.a.i.1.a.i.2. Szczegółowe dane zabezpieczeń znajdują się w załączniku nr 9.

19 11. POLITYKA PRYWATNOŚCI NA SERWISACH WWW 1. Dbając o bezpieczeństwo powierzonych przez klientów danych osobowych, poniżej stworzono politykę prywatności. 2. Polityka prywatności jest zamieszczona na stronach www placówki. 3. Do polityki mają dostęp wszyscy klienci, którzy mogą sprawdzić, w jaki sposób zabezpieczone są ich dane osobowe, którzy po zapoznaniu się z polityką mogą świadomie podjąć decyzję o ich przekazaniu i o wycofaniu zgody na przetwarzanie danych osobowych. 4.Tekst polityki stanowi załącznik nr 18. Strona 19 z 25

20 12. ZAŁĄCZNIKI

21 ZAŁĄCZNIK NR 1 USTANOWIENIE INSPEKTORA OCHRONY DANYCH Niniejszym, na podstawie Rozporządzenie Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r RODO oraz reprezentując Administratora Danych.. powołuję Pana/ią na stanowisko Inspektora Ochrony Danych w.. Jednocześnie, na podstawie ww rozporządzenia upoważniam Panią. do przetwarzania danych osobowych we wszystkich zbiorach Administratora Danych w zakresie niezbędnym dla należytego wykonywania funkcji Inspektora Ochrony Danych. Zakres obowiązków oraz warunki pełnienia funkcji Pełnomocnika w zakresie OD określone są Rozporządzeniu Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r RODO oraz dokumentacji z zakresu ochrony danych osobowych (Polityką Bezpieczeństwa i Instrukcją zarządzania systemem informatycznym) wdrożoną dnia 10/ 04 / 2018 roku w Szkole. DATA I PODPIS OSOBY POWOŁANEJ na stanowisko Inspektora OD DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

22 ZAŁĄCZNIK NR 2 UPOWAŻNIENIE INSPEKTORA OCHRONY DANYCH DO NADAWANIA UPOWAŻNIEŃ Niniejszym, zgodnie z dyspozycją Rozdziału 2 Polityki Bezpieczeństwa oraz reprezentując Administratora Danych Szkołę. upoważniam Pana/ią.. Inspektora Ochrony Danych w. do nadawania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych. DATA I PODPIS OSOBY POWOŁANEJ NA STANOWISKO INSPEKTORA OD DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

23 ZAŁĄCZNIK NR 3 WYZNACZENIE ADMINISTRATORA SYSTEMÓW INFORMATYCZNYCH Niniejszym, zgodnie z dyspozycją Rozdziału 2 Polityki Bezpieczeństwa oraz reprezentując Administratora Danych.. z siedzibą w.. wyznaczam Pana/ią. na stanowisko Administratora Systemów Informatycznych w. Zakres obowiązków oraz warunki pełnienia funkcji Administratora Systemów Informatycznych określone są dokumentacją ochrony danych osobowych (Polityką Bezpieczeństwa i Instrukcją zarządzania systemem informatycznym) wdrożoną dnia / / 2018 r w... DATA I PODPIS OSOBY WYZNACZONEJ NA STANOWISKO ASI DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

24 ZAŁĄCZNIK NR 4 WZÓR UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH DLA OSÓB ZATRUDNIONYCH NA PODSTAWIE UMOWY O PRACĘ U P O W A Ż N I E N I E D O P R Z E T W A R Z A N I A D A N Y C H O S O B O W Y C H Niniejszym, jako Dyrektor w., na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r RODO, upoważniam: Imię i nazwisko upoważnionego pracownika, stanowisko Czynności objęte zakresem upoważnienia Osoba upoważniona obowiązana jest przetwarzać dane osobowe zawarte w ww. zbiorach danych osobowych w zakresie i w sposób wymagany do wypełnienia obowiązków służbowych względem Administratora Danych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r RODO, wydanymi na jej podstawie aktami wykonawczymi i obowiązującymi w wewnętrznymi regulacjami w sprawie ochrony danych osobowych. Naruszenie ww. obowiązków może skutkować poniesieniem odpowiedzialności karnej na podstawie przepisów określonych w przepisach o ochronie danych osobowych oraz stanowi ciężkie naruszenie obowiązków pracowniczych, które może być podstawą rozwiązania umowy o pracę w trybie art. 52 Kodeksu Pracy. Upoważnienie jest ważne do odwołania. Data i podpis upoważniającego Oświadczenie Data i podpis osoby upoważnionej Oświadczam, że zapoznałam/em się z obowiązującymi w zakresie ochrony danych osobowych przepisami prawa i regulacjami wewnętrznymi obowiązującymi w. (w szczególności z Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym). Przyjmuję do wiadomości zawarte w nich obowiązki w zakresie ochrony danych osobowych i zobowiązuję się do ich stosowania. Świadoma/y jestem obowiązku ochrony danych osobowych na zajmowanym stanowisku i w zakresie udzielonego mi upoważnienia do przetwarzania danych osobowych, a w szczególności obowiązku zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu upoważnienia, a także po ustaniu zatrudnienia. Data i podpis osoby upoważnionej

25 ZAŁĄCZNIK NR 5 WZÓR OŚWIADCZENIA O ZOBOWIĄZANIU SIĘ do ZACHOWANIA POUFNOŚCI Warszawa, dnia... Oświadczenie o zobowiązaniu się do zachowania poufności Ja niżej podpisana/y zamieszkała/y w. zatrudniona/y na stanowisku... zobowiązuję się zachować w tajemnicy informacje uzyskane w związku z powierzonymi mi obowiązkami. Uzyskane informacje zachowam w poufności zarówno w trakcie zatrudnienia, jak i po jego ustaniu.... Podpis

26 ZAŁĄCZNIK NR 6. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Uwaga. W związku z faktem, iż dokument zawiera duża ilość kolumn dostępny jest w pliku Excel załączony do materiałów.

27 ZAŁĄCZNIK NR 7 WZÓR EWIDENCJI OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Nr Imię i nazwisko osoby upoważnionej Data nadania upoważnienia Data ustania upoważnienia Uwagi dotyczące indywidualnych uprawnień Nazwy czynności przetwarzania danych osobowych

28 ZAŁĄCZNIK NR 8 WYKAZ PODMIOTÓW, KTÓRYM ADMINISTRATOR DANYCH POWIERZYŁ PRZETWARZANIE DANYCH OSOBOWYCH Podmioty, którym Administrator Danych powierzył przetwarzanie danych osobowych Adres / lokalizacja Uwagi

29 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego ZAŁĄCZNIK NR 9 OPIS ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH ŚRODKI FIZYCZNE Środek ochrony fizycznej 1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). 2. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. 3. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. 4. Dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych objęte są systemem kontroli dostępu. 5. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. 6. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony. 7. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. 8. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. 9. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. 10. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. 11. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. 12. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. Zastosowano (TAK / NIE) tak tak tak tak tak nie tak tak tak tak nie tak Uwagi Strona 29 z 54

30 13. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. tak

31 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego ŚRODKI TECHNICZNE Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. Użyto system Firewall do ochrony dostępu do sieci komputerowej. Zastosowano (TAK / NIE) tak tak tak tak Uwagi Strona 31 z 54

32 ŚRODKI ORGANIZACYJNE Środek organizacyjny Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Powołano Inspektora OD Opracowano i wdrożono Politykę Bezpieczeństwa o której mowa w ustawie o ochronie danych osobowych Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco Zastosowano (TAK / NIE) tak tak tak tak tak tak tak tak tak tak Uwagi

33 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego ZAŁĄCZNIK NR 10 - WZÓR RAPORT Z KONTROLI WEWNĘTRZNEJ W ZAKRESIE OCHRONY DANYCH OSOBOWYCH (AUDYT WEWNĘTRZNY Warszawa, dnia.. Raport z kontroli wewnętrznej w zakresie ochrony danych osobowych (Audyt wewnętrzny) przeprowadzana min raz do roku 1. Nazwa placówki:.. 2. inspektor ochrony danych:. 3. Wykaz czynności podjętych w toku sprawdzenia: - (np. analiza dokumentacji dotyczącej RODO) - (np. analiza teczek pracowników) Data kontroli Zakres kontroli: - zgodność funkcjonowania obszarów związanych z przetwarzaniem Danych Osobowych z przyjętymi w polityce ochrony zasadami - weryfikacja, na ile dokumentacja OD jest zgodna z aktualnymi przepisami prawa - analiza naruszeń DO - inne (jakie?) Efekty kontroli, wnioski, rekomendacje: Załączniki: Podpis Inspektora Strona 33 z 54

34 ZAŁĄCZNIK NR 11 - PROTOKÓŁ Z KONTROLI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH PROTOKÓŁ Z KONTROLI w zakresie ochrony danych osobowych Warszawa, data.. 7. Nazwa kontrolowanej placówki: Czynności przetwarzania danych osobowych, które podlegają kontroli: Data kontroli: Dane osoby kontrolującej: Osoby biorące udział w kontroli: Efekty kontroli: 7. Wnioski i zalecenia pokontrolne: (data i podpis osoby kontrolującej) (data i podpis dyrektora placówki)

35 ZAŁĄCZNIK NR 12 (dane podmiotu który umowę zawiera). zwana w dalszej części umowy Wykonawcą reprezentowana przez: Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego Wzór Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy:.. oraz., z siedzibą w., przy ul... zwana w dalszej części umowy Zleceniodawcą reprezentowana przez:. 1 Powierzenie przetwarzania danych osobowych 1... powierza Wykonawcy dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie. 2. Zleceniodawca oświadcza, że jest Administratorem danych, które powierza Wykonawcy do przetwarzania. 4. Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych w zakresie określonym w niniejszej umowie. 2 Zakres i cel przetwarzania danych 1. Wykonawca będzie przetwarzał, powierzone na podstawie umowy, następujące dane osobowe: 1) imiona, nazwisko; 2) adres zamieszkania lub zameldowania; 4) numer telefonu 2. Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu., w sposób zgodny z treścią umowy i jedynie przez czas jej trwania. 3 Sposób wykonania umowy w zakresie przetwarzania danych osobowych 1. Wykonawca zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich należytego zabezpieczenia. 2. Wykonawca oświadcza: a) Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. b) Wykonawca może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Zleceniodawcy. 4 Odpowiedzialność Wykonawcy Strona 35 z 54

36 1. Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 5 Czas obowiązywania umowy 1. Niniejsza umowa obowiązuje od dnia zawarcia przez czas.. lub czas nieokreślony. 2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem trzymiesięcznego okresu wypowiedzenia. 6 Zasady zachowania poufności 1. Wykonawca zobowiązuje się do zachowania poufności w zakresie realizowanej usługi. Zleceniodawca Wykonawca

37 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego ZAŁ. NR 13. PROTOKÓŁ STWIERDZENIA NARUSZENIA PRAWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 1. Komisja w składzie: 1)... (imię i nazwisko, stanowisko) 2)... (imię i nazwisko, stanowisko) dokonała w dniu... ustaleń dotyczących okoliczności naruszenia przepisów w zakresie ochrony danych osobowych. 3. Rodzaj naruszenia prawa w zakresie ochrony danych osobowych Czynności niezbędne dla powstrzymania niepożądanych skutków Udokumentować wstępnie zaistniałe naruszenie: - 5. WNIOSKI DO DALSZEGO POSTĘPOWANIA: (uwagi do protokołującego: określić poziom naruszenia prawa w skali: incydentalne lub wysokie) 5. Wykaz załączników do protokołu, w tym ewentualnych zastrzeżeń, jeżeli złożono je na piśmie: a)... Strona 37 z 54

38 b)... c)... d)... e) Data podpisania protokołu:... Podpisy członków zespołu: 1)... 2)... Podpis dyrektora oraz pieczęć placówki Potwierdzenie przez osoby uprawnione: 1) zaznajomienia się z protokołem i innymi materiałami... 2) złożenia zastrzeżeń na piśmie: ) otrzymania protokołu:......

39 ZAŁĄCZNIK NR 14. Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego 1.Informacje ogólne Polityka prywatności serwisu Niniejsza Polityka Prywatności określa zasady przetwarzania, zbierania i ochrony danych osobowych pobieranych od Użytkowników w związku z zasadą funkcjonowania Serwisu Szkoły.. 2. Administratorem danych osobowych zawartych w serwisie jest 3. W trosce o bezpieczeństwo zbieranych danych przez serwis www opracowaliśmy wewnętrzne procedury i zalecenia, które mają zapobiec udostępnieniu danych osobom nieupoważnionym. 4. Dane nie będą wykorzystywane w żadnym innym celu, niż wynika to z celu funkcjonowania serwisu. 5. Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób: a) poprzez dobrowolnie wprowadzone w formularzach informacje b) poprzez gromadzenie plików cookies [patrz polityka plików cookies ]. 6. Serwis zbiera informacje dobrowolnie podane przez użytkownika. 7. Dane podane w formularzu są przetwarzane w celu wynikającym z funkcji konkretnego formularza np. w celu dokonania procesu obsługi kontaktu informacyjnego. 8. Dane osobowe pozostawione w serwisie nie zostaną sprzedane ani udostępnione osobom trzecim, zgodnie z przepisami Ustawy o ochronie danych osobowych. 9. Do danych zawartych w formularzu przysługuje wgląd osobie fizycznej, która je tam umieściła. Osoba ta ma również prawo do modyfikacji i zaprzestania przetwarzania swoich danych w dowolnym momencie. 10. Zastrzegamy sobie prawo do zmiany w polityce ochrony prywatności serwisu, na które może wpłynąć rozwój technologii internetowej, ewentualne zmiany prawa w zakresie ochrony danych osobowych oraz rozwój naszego serwisu internetowego. O wszelkich zmianach będziemy informować w sposób widoczny i zrozumiały. 11. W Serwisie mogą pojawiać się linki do innych stron internetowych. Takie strony internetowe działają niezależnie od Serwisu i nie są w żaden sposób nadzorowane przez nasz serwis. Strony te mogą posiadać własne polityki dotyczące prywatności oraz regulaminy, z którymi zalecamy się zapoznać. W razie wątpliwości co do któregokolwiek z zapisów niniejszej polityki prywatności jesteśmy do dyspozycji - nasze dane znaleźć można w zakładce - KONTAKT. Strona 39 z 54

40 ZAŁĄCZNIK NR 15. REJESTR NARUSZEŃ OCHRONY DANYCH OSOBOWYCH Uwaga. W związku z faktem, iż dokument zawiera duża ilość kolumn dostępny jest w pliku Excel załączony do materiałów.

41 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZESPÓŁ SZKÓŁ NR 32 IM. K. K. BACZYŃSKIEGO W WARSZAWIE UL. OŻAROWSKA 71 Strona 41 z 54

42 SPIS TREŚCI 1.WSTĘP INFORMACJE OGÓLNE OBSZARY OBJĘTE PolitykĄ Ochrony Danych Osobowych SŁOWNIK NAJWAŻNIEJSZYCH POJĘĆ funkcje w obszarze ochrony DANYCH OSOBOWYCH ADMINISTRATOR DANYCH Zakres obowiązków Inspektora OCHRONY DANYCH Administrator Systemów Informatycznych OSOBY UPOWAŻNIONE DO WGLĄDU I PRZETWARZANIA DANYCH OSOBOWYCH Upoważnienie do przetwarzania danych osobowych POWIERZENIe PRZETWARZANIA DANYCH OSOBOWYCH podmiotom zewnętrznym ZASADY POSTĘPOWANIA przy przetwarzaniu danych osobowych instrukcja na wypadek naruszenia ochrony danych osobowych ZAsady kontroli sposobów zabezpieczania danych osobowych REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH. OBSZARY, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE PRZEPŁYW DANYCH OSOBOWYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych POLITYKA PRYWATNOŚCI NA SERWISACH Załączniki Załącznik nr 1 Ustanowienie Inspektora Ochrony Danych Załącznik nr 2 Upoważnienie Inspektora Ochrony Danych do nadawania upoważnień... 21

43 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego Załącznik nr 3 Wyznaczenie Administratora Systemów Informatycznych Załącznik nr 4 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę Załącznik nr 5 Wzór oświadczenia o zobowiązaniu się do zachowania poufności Załącznik nr 6. Rejestr czynności przetwarzania danych osobowych Załącznik nr 7 Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych Załącznik nr 8 Wykaz podmiotów, którym Administrator Danych powierzył przetwarzanie danych osobowych Załącznik nr 9 Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych załącznik nr 10 - Wzór Raport z kontroli wewnętrznej w zakresie ochrony danych osobowych (AUDyt wewnętrzny Załącznik nr 11 - Protokół z kontroli w zakresie ochrony danych osobowych Załącznik nr zał. nr 13. PROTOKÓŁ stwierdzenia naruszenia prawa w zakresie ochrony danych osobowych Załącznik nr Załącznik nr 15. Rejestr naruszeń ochrony danych osobowych Wstęp Cel przygotowania Instrukcji Zarządzania Systemem Informatycznym Zakres informacji objętych Instrukcją Zarządzania Systemem Informatycznym Wyjaśnienie terminów używanych w dokumencie Instrukcji Zarządzania Systemem Informatycznym Osoby odpowiedzialne za PRZESTRZEGANIE ZAPISÓW InstrukcjI Zarządzania Systemem Informatycznym Informacje ogólne Administrator Systemów Informatycznych Administrator IT Procedura nadawania oraz cofania uprawnień do przetwarzania danych i rejestrowania tych zmian w systemach informatycznych oraz wskazania osoby odpowiedzialnej za te czynności Strona 43 z 54

44 4.Opis stosowanych metod i środków uwierzytelnienia oraz procedur związanych z zarządzaniem i użytkowaniem stosowanych metod i środków uwierzytelnienia Procedura rozpoczęcia pracy przeznaczona dla użytkowników systemów informatycznych Procedura zawieszenia pracy przeznaczona dla użytkowników systemów informatycznych Procedura zakończenia pracy przeznaczona dla użytkowników systemów informatycznych Procedury tworzenia kopii zapasowych zbiorów danych oraz programów służących do ich przetwarzania Opis sposobu zabezpieczenia systemów informatycznych przed działalnością niebezpiecznego oprogramowania Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych DPIA Poziom ryzyka wypływu danych w systemach/zasobach Załącznik nr 1. Karta nadawania i COFANIA uprawnień w trakcie trwania zatrudnienia pracownika w SZKOLE Nadanie/Cofanie dostępów do systemów informatycznych: Utworzenie konta mailowego: Czynności dotyczące polityki bezpieczeństwa: Dodatkowe uprawnienia przyznawane pracownikowi: WSTĘP Niniejsza Instrukcja zawarta w Polityce Bezpieczeństwa została opracowany przez szkołę w celu zapewnienia zgodności przetwarzania danych osobowych z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r (RODO). Jego celem jest przedstawienie wszystkich zagadnień związanych z bezpieczeństwem danych osobowych w ramach istniejących rozwiązań informatycznych w placówce. Szkoła podjęła próbę przedstawienia w sposób najbardziej szczegółowy wszystkich procedur, których nadrzędnym celem jest dbałość o bezpieczeństwo danych osobowych uczniów, rodziców, pracowników szkoły oraz podmiotów współpracujących. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą. Każda osoba mającą dostęp do danych osobowych na podstawie upoważnienia dyrektora

45 Zespół Szkół nr 32 im. Krzysztofa Kamila Baczyńskiego szkoły, została zapoznana z zasadami bezpieczeństwa danych osobowych znajdujących się w systemach informatycznych i zobowiązana do przestrzegania w zakresie wynikającym z przydzielonych zadań. Każdy pracownik szkoły zobowiązany jest poświadczyć pisemnie na druku załącznika nr 4, iż zapoznał się z treścią dotyczącą przetwarzania danych osobowych w systemach informatycznych oraz zobowiązuje się do stosowania zawartych w niej postanowień CEL PRZYGOTOWANIA INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Nadrzędnym celem działań jest zapewnienie: zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności. Istotne jest także określenie podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych ZAKRES INFORMACJI OBJĘTYCH INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Dokument Instrukcji Zarządzania Systemem Informatycznym opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Obejmuje on informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, o zastosowanych rozwiązaniach technicznych, jak również o procedurach eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Na Instrukcję Zarządzania składają się w szczególności następujące informacje: procedury nadawania oraz cofania uprawnień do przetwarzania danych i rejestrowania tych zmian w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemów informatycznych przed działalnością niebezpiecznego oprogramowania; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Instrukcję Zarządzania Systemem Informatycznym stosuje się do wszelkich czynności, stanowiących w myśl RODO przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich Strona 45 z 54

46 zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosuje się zasady przetwarzania danych osobowych ujęte w niniejszym dokumencie Instrukcji Zarządzania Systemem Informatycznym WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych, ASI Administrator Systemów Informatycznych, RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r ) Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej